Anforderungen an den Datenschutz

Mein Input zum Datenschutz, den ich letztens auf der Mailingliste abgab.

[als Testeintrag]

1. Mitgliedsdaten

Wir als Partei(gliederung) erheben Mitgliedsdaten, speichern sie und benutzen sie. Das müssen wir zur Ausübung der auf dem Mitgliedsantrag formulierten Zwecke machen. Das heißt: Jemand füllt den Antrag aus, gibt ihn uns, wir speichern die Infos und verwenden sie, sofern das für die Mitgliedschaft notwendig ist, weil das das Mitglied so möchte. Das ist beispielsweise bei Parteitagen so. Wir benutzen die (Mail-)Adresse, um einzuladen und Informationen über den Zahlungsstatus für die Akkreditierung. Das ist der Zweck der Erhebung und Nutzung der Daten von Mitgliedern. Soweit so gut.

Darüber hinaus benutzen wir sie allerdings auch, um weitere „Späßchen“ damit zu treiben, ohne uns die notwendige Einwilligung geholt zu haben. Wir schicken zum Beispiel einfach mal so ohne Weiteres ungefragt Umfragen rum, um persönliche (politische) Meinungen zu erfahren. Das ist nicht okay. Es dürfen nur jene solche Mails bekommen, die dem explizit zugestimmt haben. Auf den meisten Mitgliedsanträgen stand nicht mal die Option drauf. Es handelt sich quasi um Spam. Das heißt: keine Umfragen mehr an Leute senden, die nicht gesagt haben, dass sie an Umfragen teilnehmen möchten. Um die Anzahl jener zu erhöhen, müssen wir uns die notwendige Einwilligung holen, bevor wir Umfragen an sie schicken. Wem das zu viel Arbeit ist, kann keine Umfragen verschicken. Wenn man Umfragen verschicken will, muss man sich auch an die Regeln halten.

Des Weiteren ist es notwendig, dass wir immer dann den Prozess dokumentieren müssen, wenn wir Infos aus der Mitgliedsdatenbank fischen, um sie woanders reinzutun, sofern es nix mit der zwangsläufigen Ausübung der Mitgliedschaft innerhalb der Gliederung zu tun hat. Wenn wir Umfragen an Mitglieder schicken, muss also vorher feststehen, wie es läuft. Man muss aufschreiben(!), wer welche Daten warum wohin tut, wer draufgucken darf und für wie lange die da drin sind.

Man könnte meinen, dass das überzogene Detail-Kramerei ist, allerdings kann man die direkten Auswirkungen bereits sehen: es kommen -berechtigte- Fragen von Mitgliedern, die sich durch den Erhalt selber oder bei einer Beantwortung der Umfrage unsicher fühlen, da ihnen der dahinterliegende Prozess nicht offenbart wurde. Das ist nur eine Folge der Tatsache, dass wir es nicht so genau nehmen mit solchen Verfahren. Es muss quasi immer ein Verfahrensverzeichnis vorhanden sein, wenn wir die Datensätze irgendwo benutzen.

Wir hantieren schon allein aufgrund unserer Parteieigenschaft mit besonderen Daten. Die politische Meinung ist in Deutschland ein besonders schützenswertes Datum. Das hat historische Gründe. Gerade in Sachsen und gerade zu dieser Zeit, sollte gerade uns klar sein, aus welchen Gründen diese Informationen von uns auch tatsächlich besonders geschützt werden müssen. Zuständig dafür sind die jeweiligen Vorstände der Gliederungen. Ob ihnen das gefällt oder nicht, das ist ihre Aufgabe.

Es spielt dabei keine Rolle, ob sich eine bestimmte oder unbestimmte Anzahl der Betroffenen auch ohne diese Dinge sicher *fühlt*. Es spielt auch keine Rolle, ob die zuständige Stelle darauf Lust hat. Es ist kein Argument, wenn man möglicherweise andere wichtige Pläne haben könnte, als solche Prozesse zu dokumentieren. Es ist auch irrelevant, ob Außenstehende die Meinung dazu vertreten, dass das alles ja gar nicht notwendig geschweigedenn irgendwie relevant sei. Und es ist egal, ob wir das „schon immer so gemacht haben“.

Es gibt also zwei Möglichkeiten: Entweder wir benutzen die Mitgliedsdaten nicht für anderen Kram, oder wir benutzen sie über die vorgeschriebenen Wege.

2. politische Meinungen

Wie bereits erwähnt, sind politische Meinungen mit besonderer Sorgfalt zu behandeln. Überall dort, wo wir Plattformen für die Äußerung von politischen Meinungen zur Verfügung stellen, müssen wir deren datenchutzrechtliche Unbedenklichkeit ebenso gewährleisten wie die Sicherheit der Daten. Wir müssen also auch dort die dahinterliegenden Prozesse beschreiben. Das gilt für Mailinglisten, Mail-Accounts, Pads, Wiki, Mumble, OTRS, Redmine und alles, was wir sonst noch so benutzen bzw. zur Verfügung stellen.

Es ist für die Parteitätigkeit nicht zwingend notwendig, diese Tools zu verwenden. Wenn das dem zuständigen Organ also zu viel Arbeit ist, reicht es aus, diese Dinge nicht weiter zur Verfügung stellen und gespeicherte Daten gemäß den Fristen zu löschen. Wenn wir es doch benutzen möchten, müssen wir den vorgeschriebenen Weg gehen.

3. zuständige Stellen

Zuständig für die Mitgliedsaufnahme sind bei uns die untersten Gliederungen, also zum Beispiel der Kreisverband. Mitgliedsanträge gehen an den Landesverband. Der Landesverband verarbeitet demnach im Auftrag des Kreisverbands Mitgliedsdaten. Hierfür ist eine Auftragsdatenvereinbarung notwendig. Wir nutzen dabei alle das Tool SAGE, das über den Bundesverband bereitgestellt wird. Du ahnst es: Es handelt sich um eine Auftragsdatenverarbeitung. Die Kreisverbände bzw. deren Vorstände haben als verantwortliche Stellen dafür Sorge zu tragen, dass diese Formalien erfüllt werden.

Da wir bundesweit dafür sorgen möchten, diese Formalien zu erledigen, wird es wohl in der Praxis so aussehen, dass wir ein Formular bekommen, das nach unten weitergereicht werden kann. Diese Arbeit wird uns also, soweit ich das im Blick habe, sogar abgenommen. Wir können das dann also relativ bequem unterzeichnen und befolgen. Eigentlich wäre es die Aufgabe von uns, das Dokument zu erstellen, wir können aber auch ein bereits erstelltes verwenden, sofern es auf uns zutrifft.

Zuständig zB für
– unser Wiki, Pads, Mumble und co ist der Bundesverband bzw. dessen Bundesvorstand.
– unser Lime Survey, Mail-Accounts mit piraten-sachsen.de und co ist der Landesverband Sachsen bzw. dessen Landesvorstand.
– die Mailingliste Chemnitz sowie Mail-Accounts mit piraten-chemnitz.de und co ist der Kreisverband Chemnitz bzw. dessen Kreisvorstand.

4. Datenschutzbeauftragter

Als Kontrollorgan fungiert bei all dem der eigene Datenschutzbeauftragte. Da sich der Vorstand als verantwortliche Stelle nicht selbst kontrollieren kann, ist es notwendig, dass immer, wenn elektronisch mit politischen Meinungen hantiert werden soll, ein eigener Datenschutzbeauftragter verfügbar ist. Dieser kann auch mehrere Gliederungen betreuen. Wenn wir keinen eigenen haben, steht der behördliche Datenschutzbeauftragte zur Verfügung. Da wir verpflichtet sind, einen zu haben, ist es nicht besonders clever, keinen zu haben.

Da wir bereits per Bundessatzung auf unterster Gliederungsebene mit Mitgliedsdaten hantieren, benötigen wir hierfür Datenschutzbeauftragte. Ein Datenschutzbeauftragter für Sachsen kann dies für alle darunter liegenden Gliederungen ebenso bestreiten, sofern er bereit dazu ist und von den Kreisen jeweils bestellt wurde. Es reicht nicht aus, zu sagen „der macht das jetzt für alle“, sondern jeder Kreis muss einen Schriebs dafür vorbereiten, der unterschrieben wird. Der kann für alle Kreise gleich lauten, benötigt aber jeweils ein eigenes Blatt Papier.

5. Zeitmanagement und Priorisierung

Nicht ohne Absicht erwähne ich so oft „es richtig machen oder nicht mehr machen.“ Wir haben nun Kenntnis darüber, welche Dinge notwendig für die Nutzung dieser Daten sind. Wir können darüber wochenlang zanken und zetern. In der Zeit könnten wir das allerdings auch alles hübsch fertig gemacht haben. Es gibt regelmäßig superlange ML-Threads sowie stundenlange Gespräche darüber, was derzeit mit unseren Daten passiert und auch darüber, wie man der Verwendung entkommen kann, ohne eingeschränkt zu werden.

Die Erledigung des Formalfoos ist zwingend Vorstandszuständigkeit. Es ist nice to have, wenn der Vorstand Anfahrtskizzen zu Parteitagen bastelt und andere Dinge durchorganisiert. Darüber steht aber die Einhaltung von gesetzlich vorgeschriebenen Prozessen. Wir bewegen uns hier übrigens im Rahmen der Zusicherung von Grundrechten. Eine Abwägung zu Ungunsten des Schutzes der persönlichen besonderen Daten muss schon sehr gravierende Gründe haben. Darunter fällt nicht, ob wir gerade Zeit dafür haben.

6. in eigener Sache

In der Zeit, in der ich diese Mail schreibe, hätte ich vermutlich schon alle Chemnitzer Prozesse beschreiben können. Ich schreibe ja nicht nur „über Vorstände“, sondern bin selbst verantwortlich für die Durchführung in meinem eigenen Kreisverband. Allerdings investiere ich sie, um möglichst verständlich rüberzubringen, weshalb die Durchführung dieser Verfahren wichtig ist und was wir erledigen müssen. Ich tue dies, weil ich hoffe, damit ein wenig Verständnis für die Dinge zu vermitteln, die auf uns zukommen.
– Wenn ihr Vorstände seid, solltet ihr euch darüber informieren, was konkret zu erledigen ist.
– Wenn ihr eine Beauftragung habt und dadurch nun Mehraufwand betreiben müsst, habt bitte Verständnis für die Sorgfalt eurer Vorstände.
– Wenn ihr einfache Nutzer unserer Dienste seid, habt bitte Geduld, wenn sie mal temporär nicht verfügbar sind oder überarbeitet werden.
– Wenn ihr eine tolle Idee habt, die ihr gern umgesetzt haben möchtet, versteht bitte, dass nicht alles immer auf den nächsten Tag umsetzbar ist, weil es möglicherweise im Vorfeld geprüft wird.
– Wenn ihr gebeten werdet, bei der Umsetzung zu helfen, nehmt euch bitte die ein oder andere Stunde Zeit, um zu helfen.

Wir können das auch alles unbeachtet lassen und weiter machen, wie bisher. Dann müssen wir uns immer wieder stundenlang damit auseinandersetzen, dass die Sicherheit der Daten hinterfragt wird und uns zu Recht Vorwürfe machen lassen, wenn sich Mitglieder auf ihr Recht auf informationelle Selbstbestimmung berufen. Wir machen uns unglaubwürdig im Rahmen unserer Forderungen nach persönlichem Datenschutz und staatlicher Transparenz.

Deshalb ist es an der Zeit, ein besseres Gespür für den Schutz unserer Daten für uns selbst zu entwickeln und das von anderen zu stärken. Man muss die Regeln nicht alle selbst (er)kennen. Es ist aber wichtig, Hinweise auf- und Hilfe anzunehmen, wenn man sie schon vorgetragen und angeboten bekommt. Wenn wir Datenschutz als wirkungsloses Blahblah abtun, wird sich die Situation weiterhin als Standard fortführen. Das widerspricht ganz klar unseren Forderungen nach der Stärkung der Bürgerrechte. Deren Ausheblung beginnt dann bereits bei uns als Partei.

Es ist reichlich skurril, zum Beispiel Einwohnermeldeämtern um die Ohren zu werfen, dass sie mit den von ihnen zu pflegenden Daten wie ein Megafon umgehen, während wir selbst „keine Lust“ haben, die notwendigen Schritte einzuhalten. Genauso widerspricht es sich zum Beispiel mit der Empörung darüber, welche IPs und Protokolle von diversen Stellen fast ungehindert mit den absurdesten Zweckangaben eingeholt werden können und unserer kategorischen Ablehnung der Vorratsdatenspeicherung. Wenn das nicht eure bevorzugten Themengebiete innerhalb der politischen Arbeit bei uns sind, dann ist das weitestgehend okay. Dennoch sind wir verpflichtet, uns daran zu halten und das aus guten Gründen.

Das hat auch rein gar nichts mit „zivilem Ungehorsam“ zu tun für Gesetze, die überholt oder überflüssig sind. Solange wir nicht lernen, den Umgang mit personenbezogenen Daten sorgsamer zu gestalten, missachten wir unsere eigene Forderung nach der Privatsphäre der Menschen bzw. in diesem Fall unserer Mitglieder. Arbeitgeber finden es auch oft „lästig“, Arbeitnehmerschutzgesetze befolgen zu müssen und gegebenenfalls dem Arbeitnehmer mehr Rechte zuzugestehen, als dem Arbeitgeber gerade in den Kram passt. Nichtsdestotrotz ist der Schutz des Arbeitnehmers in diesen Fällen einfach wichtiger, als der Unwille eines Arbeitgebers, solche Maßnahmen ordnungsgemäß zu befolgen.

In diesem Sinne hoffe ich auf einen Verlauf, der die zugrundeliegende Problematik erkennbar macht und uns dazu bewegt, unseren Saustall aufzuräumen.